|
|
|
包过滤防火墙(Package Filtering)也叫网络级防火墙,如下图所示。一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。通常用一台路由器实现。它的基本思想很简单:对所接受的每个数据包进行检查,根据过滤规则,然后决定转发或丢弃该包,对进出两个方向上都要进行配置。
|
|
|
|
|
|
|
|
包过滤防火墙进行数据过滤时,查看包中可用的基本信息(源地址、目的地址、端口号、协议等)。过滤器往往建立一组规则,防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则。一般情况下,默认规则就是要求防火墙丢弃该包。其次通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。
|
|
|
|
|
|
|
|
(1)对来自专用网络的包,只允许来自内部地址的包通过,因为其他的包包含不正确的包头信息。这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。如果黑客对专用网络内部的机器具有了不知从何得来的访问权,这种过滤方式可以阻止黑客从网络内部发起攻击。
|
|
|
|
(2)在公共网络,只允许目的地址为80端口的包通过。这条规则只允许传入的连接为Web连接。这条规则也允许了与Web连接使用相同端口的连接,所以它并不是十分安全。
|
|
|
|
(3)丢弃从公共网络传入的包,而这些包都有用户网络内的源地址,从而减少IP欺骗性的攻击。
|
|
|
|
(4)丢弃包含源路由信息的包,以减少源路由攻击。要记住在源路由攻击中,传入的包包含路由信息,它覆盖了包通过网络应采取的正常路由,可能会绕过已有的安全程序。通过忽略源路由信息,防火墙可以减少这种方式的攻击。
|
|
|
|
|
|
|
|
(1)防火墙对每条传入和传出网络的包实行低水平控制。
|
|
|
|
(2)每个IP包的字段都被检查,如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。
|
|
|
|
(3)防火墙可以识别和丢弃带欺骗性源IP地址的包。
|
|
|
|
(4)包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。
|
|
|
|
(5)包过滤通常被包含在路由器数据包中,所以不必额外的系统来处理这个特征。
|
|
|
|
总的来说,包过滤路由器实现简单、费用低、对用户透明、效率高。
|
|
|
|
|
|
|
|
(1)配置困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或错误配置了已有的规则,在防火墙上留下漏洞。然而在市场上,许多新版本的防火墙对这个缺点正在作改进,如开发者实现了基于图形化用户界面的配置和更直接的规则定义。
|
|
|
|
(2)为特定服务开放的端口存在着危险,可能会被用于其他传输。例如,Web服务器默认端口为80,当计算机上又安装了RealPlayer,软件会自动搜寻可以允许连接到RealAudio服务器的端口,而不管这个端口是否被其他协议所使用,这样无意中RealPlayer就利用了Web服务器的端口。
|
|
|
|
(3)可能还有其他方法绕过防火墙进入网络,如拨入连接。但这个并不是防火墙自身的缺点,而是不应该在网络安全上单纯依赖防火墙的原因。
|
|
|
|
总的来说,包过滤路由器有维护困难、不支持用户鉴别的缺点。
|
|
|
